Un correo electrónico de phishing de Ledger estafó 600,000 USDT; el fiscal federal de EE. UU. recuperó todo el dinero

El tribunal de distrito de Connecticut, en Estados Unidos, dictó una resolución el 31 de marzo y ordenó la confiscación de más de 600.000 dólares en USDT (Tether). Los fondos provenían de un incidente de phishing por correo físico dirigido a usuarios de la cartera de hardware Ledger: la víctima, “TM”, recibió en septiembre de 2025 una carta que se hacía pasar por “el departamento de seguridad y cumplimiento de Ledger”; después de seguir las instrucciones, se filtró la frase mnemónica, y los estafadores vaciaron la cartera de inmediato.

Mecanismo de fraude del correo de phishing: cómo una sola carta puede vaciar una cartera de hardware

Este caso demuestra el phishing mediante correo físico (“Physical Mail Phishing”), una forma de ataque más difícil de detectar que el phishing digital. Los atacantes utilizaron los nombres de usuario y las direcciones residenciales obtenidos del incidente de fuga de la base de datos de clientes de Ledger en 2020 para enviar cartas con apariencia profesional a los usuarios objetivo; normalmente exigen: introducir una frase mnemónica de 24 palabras en un sitio web oficial falsificado, o bien acceder a una página maliciosa mediante un código QR incluido en la carta.

Después de que la víctima “TM” siguiera las instrucciones de la carta, los estafadores obtuvieron el control total de su cartera mediante la frase mnemónica recuperada y retiraron todos los activos. Ledger ha dejado clara durante mucho tiempo que la empresa nunca enviará proactivamente ninguna carta que solicite la frase mnemónica o que realice verificaciones de seguridad; cualquier solicitud de este tipo, sin importar lo profesional que sea su apariencia, es un fraude.

Ruta de investigación federal: la transparencia de la blockchain pone fin al intento de lavado de dinero

Tras robar el dinero, los estafadores emplearon varios métodos de confusión para intentar cortar la ruta de seguimiento:

Transferencia repetida en múltiples carteras intermedias: los fondos circulan reiteradamente entre varias direcciones, intentando difuminar el origen de los fondos

Cambio de divisas a USDT establecoin: convertir los activos robados en USDT; como las stablecoins tienen alta liquidez, se considera beneficioso para la huida posterior

Diseño de una ruta compleja de lavado de dinero: toda la ruta está orientada a dificultar que los agentes encargados de hacer cumplir la ley rastreen desde la fuente del robo hasta la dirección final que posee los fondos

Sin embargo, en la blockchain todas las transacciones son registros públicos e inalterables. Los investigadores, mediante herramientas de análisis de blockchain, rastrearon por completo la trayectoria completa de los fondos, confirmando que los activos implicados superaban los 600.000 dólares. La fiscalía presentó una demanda civil de decomiso con el número de caso 3:26-cv-28 ante el tribunal de distrito de Connecticut, acusando que este lote de USDT provenía de un fraude de transferencia bancaria e involucraba conductas ilegales de lavado de dinero.

La cooperación clave de Tether y el significado legal del decomiso civil

El avance tecnológico central de este caso está en la cooperación activa de Tether: una vez que las autoridades confirmaron la ubicación de los fondos, Tether congeló proactivamente los USDT en las direcciones relacionadas y, posteriormente, transfirió estos tokens a una cartera bajo control del gobierno; esto desempeñó un papel decisivo para completar la recuperación de activos.

El significado legal del procedimiento de decomiso civil es que no requiere identificar, arrestar ni procesar a los sospechosos. Dado que, según se cree, los sospechosos de este caso se encuentran en el extranjero, los procedimientos penales tradicionales casi no se pueden ejecutar, pero el decomiso civil aun así permitió a las víctimas recuperar con éxito sus pérdidas. El fiscal adjunto de Estados Unidos, David X. Sullivan, indicó de manera explícita: “Los criminales no deberían esperar poder seguir poseyendo bienes robados.” Los USDT recuperados se devolverán oficialmente a la víctima “TM” mediante el proceso de gestión de activos del Departamento de Justicia.

Preguntas frecuentes

¿Cómo identificar un correo de phishing disfrazado de Ledger?

Ledger nunca envía proactivamente cartas para solicitar una frase mnemónica o realizar verificaciones de seguridad. Cualquier comunicación que solicite enviar una frase de recuperación de 24 palabras, sin importar lo profesional que sea su apariencia, tanto si ya conoce su nombre y dirección como si no, es un fraude. Todas las notificaciones de seguridad de Ledger se envían a través de la aplicación oficial o mediante canales de correo electrónico verificados, no se utilizan cartas físicas.

¿Cómo ayuda el análisis de blockchain a rastrear los USDT robados?

Todos los registros de transacciones de la blockchain son públicos e inalterables. Las autoridades encargadas de hacer cumplir la ley pueden, mediante herramientas profesionales de análisis en cadena, rastrear la ruta completa de los fondos desde la cartera robada hasta la dirección final de estacionamiento. Incluso si los fondos pasan por múltiples carteras intermedias y se convierten entre diferentes tipos de monedas, con solo confirmar la dirección final que posee los fondos, se pueden proporcionar fundamentos legales suficientes para el procedimiento de decomiso civil.

¿Cómo funciona el decomiso civil en casos de fraude cripto cuando el sospechoso está en el extranjero?

El decomiso civil se dirige directamente a los activos involucrados en el caso, no a un sospechoso específico; por lo tanto, no requiere procedimientos de arresto o extradición. Esto permite que, incluso si el sospechoso está en una jurisdicción desde la que no se puede extraditar, las autoridades encargadas de hacer cumplir la ley, con la cooperación de emisores de stablecoins como Tether, puedan congelar y recuperar legalmente las pérdidas de las víctimas. Es una de las herramientas legales más efectivas en casos de fraude cripto transfronterizo.